Диплом: Обеспечение информационной безопасности в сетях IP

безопасности РВС является анализ сетевого трафика. Как пояснение последнего

утверждения рассмотрим следующую аналогию: отладчик - основное средство для

хакера, соответственно анализатор сетевого трафика - основное средство для

сетевого хакера. Анализатор сетевого трафика по своей сути является сетевым

отладчиком. Итак, в качестве методики исследования информационной

безопасности распределенной ВС предлагается выполнение ряда тестовых задач,

оценивающих защищенность системы по отношению к типовым удаленным

воздействиям.

Рассмотрим в следующих пунктах типовые удаленные атаки и механизмы их

реализации.

Анализ сетевого трафика

Атака - Анализ сетевого трафика

Анализ сетевого трафика является одним из способов получения паролей и

идентификаторов пользователей в сети Internet. Сетевой анализ осуществляется

с помощью специальной пpогpаммы - анализатоpа пакетов (sniffer),

перехватывающей все пакеты, передаваемые по сегменту сети, и выделяющей среди

них те, в которых передаются идентификатор пользователя и его пароль.

Во многих протоколах данные передаются в открытом, незашифрованном виде. Анализ

сетевого трафика позволяет перехватывать данные, передаваемые по протоколам FTP

и TELNET (пароли и идентификаторы пользователей), HTTP (Hypertext Transfer

Protocol - протокол передачи гипертекстовых файлов - передача гипертекста между

WEB-сервером и браузером, в том числе и вводимые пользователем в формы на

web-страницах данные), SMTP[6] ,

POP3[7] , IMAP

[8], NNTP[9] (электронная почта

и конференции) и IRC -Internet Relay Chat (online-разговоры, chat). Так могут

быть перехвачены пароли для доступа к почтовым системам с web-интерфейсом,

номера кредитных карт при работе с системами электронной коммерции и различная

информация личного характера, разглашение которой нежелательно.

В настоящее время разработаны различные протоколы обмена, позволяющие

защитить сетевое соединение и зашифровать трафик . К сожалению, они ещё не

сменили старые протоколы и не стали стандартом для каждого пользователя. В

определённой степени их распространению помешали существующие в ряде стран

ограничения на экспорт средств сильной криптографии. Из-за этого реализации

данных протоколов либо не встраивались в программное обеспечение, либо

значительно ослаблялись (ограничивалась максимальная длина ключа), что

приводило к практической бесполезности их, так как шифры могли быть вскрыты

за приемлемое время.

Анализ сетевого трафика позволяет:

1. Во-первых, изучить логику работы распределенной ВС, то есть получить

взаимно однозначное соответствие событий, происходящих в системе, и команд,

пересылаемых друг другу ее объектами, в момент появления этих событий (если

проводить дальнейшую аналогию с инструментарием хакера, то анализ трафика в

этом случае заменяет и трассировщик). Это достигается путем перехвата и

анализа пакетов обмена на канальном уровне. Знание логики работы

распределенной ВС позволяет на практике моделировать и осуществлять типовые

удаленные атаки, рассмотренные в следующих пунктах на примере конкретных

распределенных ВС.

2. Во-вторых, анализ сетевого трафика позволяет перехватить поток данных,

которыми обмениваются объекты распределенной ВС. Таким образом, удаленная

атака данного типа заключается в получении на удаленном объекте

несанкционированного доступа к информации, которой обмениваются два сетевых

абонента. Отметим, что при этом отсутствует возможность модификации трафика и

сам анализ возможен только внутри одного сегмента сети. Примером

перехваченной при помощи данной типовой удаленной атаки информации могут

служить имя и пароль пользователя, пересылаемые в незашифрованном виде по

сети (п. 4.1).

По характеру воздействия анализ сетевого трафика является пассивным

воздействием Осуществление данной атаки без обратной связи ведет к нарушению

конфиденциальности информации внутри одного сегмента сети на канальном уровне

OSI При этом начало осуществления атаки безусловно по отношению к цели атаки.

Анализ сетевого трафика – средство выявления атаки

Анализ сетевого трафика можно также успешно использовать в противоположных

целях, для выявления сетевых атак.

Существует два не исключающих друг друга подхода к выявлению сетевых атак:

анализ сетевого трафика и анализ контента. В первом случае анализируются

только заголовки сетевых пакетов, во втором — их содержимое.

Конечно, наиболее полный контроль информационных взаимодействий может быть

обеспечен только путем анализа всего содержимого сетевых пакетов, включая их

заголовки и области данных. Однако с практической точки зрения эта задача

является трудновыполнимой из-за огромного объема данных, которые приходилось

бы анализировать. Современные системы выявления атак IDS (Intrusion-Detection

System) начинают испытывать серьезные проблемы с производительностью уже в

100 Мб/с сетях. Поэтому в большинстве случаев целесообразно использовать для

выявления атак методы анализа сетевого трафика, в некоторых случаях сочетая

их с анализом контента.

Сигнатура сетевой атаки концептуально практически не отличается от сигнатуры

вируса. Она представляет собой набор признаков, позволяющих отличить сетевую

атаку от других видов сетевого трафика. Например, перечисленные ниже признаки

могут рассматриваться в качестве сигнатур атак:

Примеры сигнатур атак, используемых при анализе трафика (заголовков сетевых

пакетов):

§ В заголовке TCP пакета установлен порт назначения 139 и флаг OOB

(Out of Band - внеполосный). Это является признаком атаки аля WinNuke.

§ Установлены одновременно противоречащие друг другу флаги TCP

пакета: SYN и FIN. Данная комбинация флагов используется во многих атакующих

программах для обхода фильтров и мониторов, проверяющих только установку

одиночного SYN флага.

Методы анализа контента имеют еще один существенный недостаток. Они не

работают, когда атакующие программы (DDoS, trojans) используют методы

шифрования трафика. Например, Back Orifice trojan или Barbwire DDoS

осуществляют шифрование команд, передаваемых между клиентом и сервером,

(менеджером и агентом), с использованием алгоритма blowfish. Методы выявления

такого рода атак ограничиваются анализом заголовков сетевых пакетов.

Подмена доверенного объекта или субъекта распределенной ВС

Одной из проблем безопасности распределенной ВС является недостаточная

идентификация и аутентификация ее удаленных друг от друга объектов. Основная

трудность заключается в осуществлении однозначной идентификации сообщений,

передаваемых между субъектами и объектами взаимодействия. Обычно в

распределенных ВС эта проблема решается следующим образом: в процессе

создания виртуального канала объекты РВС обмениваются определенной

информацией, уникально идентифицирующей данный канал. Такой обмен обычно

называется "рукопожатием" (handshake). Однако, отметим, что не всегда для

связи двух удаленных объектов в РВС создается виртуальный канал. Практика

показывает, что зачастую, особенно для служебных сообщений (например, от

маршрутизаторов) используется передача одиночных сообщений, не требующих

подтверждения.

Как известно, для адресации сообщений в распределенных ВС используется

сетевой адрес, который уникален для каждого объекта системы (на канальном

уровне модели OSI - это аппаратный адрес сетевого адаптера, на сетевом уровне

- адрес определяется в зависимости от используемого протокола сетевого уровня

(например, IP-адрес). Сетевой адрес также может использоваться для

идентификации объектов распределенной ВС. Однако сетевой адрес достаточно

просто подделывается и поэтому использовать его в качестве единственного

средства идентификации объектов недопустимо.

В том случае, когда распределенная ВС использует нестойкие алгоритмы

идентификации удаленных объектов, то оказывается возможной типовая удаленная

атака, заключающаяся в передаче по каналам связи сообщений от имени

произвольного объекта или субъекта РВС. При этом существуют две разновидности

данной типовой удаленной атаки:

§ атака при установленном виртуальном канале,

§ атака без установленного виртуального канала.

В случае установленного виртуального соединения атака будет заключаться в

присвоении прав доверенного субъекта взаимодействия, легально подключившегося

к объекту системы, что позволит атакующему вести сеанс работы с объектом

распределенной системы от имени доверенного субъекта. Реализация удаленных

атак данного типа обычно состоит в передаче пакетов обмена с атакующего

объекта на цель атаки от имени доверенного субъекта взаимодействия (при этом

переданные сообщения будут восприняты системой как корректные). Для

осуществления атаки данного типа необходимо преодолеть систему идентификации

и аутентификации сообщений, которая, в принципе, может использовать

контрольную сумму, вычисляемую с помощью открытого ключа, динамически

выработанного при установлении канала, случайные многобитные счетчики пакетов

и сетевые адреса станций. Однако на практике, например, в ОС Novell NetWare

3.12-4.1 для идентификации пакетов обмена используются два 8-битных счетчика

- номер канала и номер пакета; в протоколе TCP для идентификации используются

два 32-битных счетчика.

Как было замечено выше, для служебных сообщений в распределенных ВС часто

используется передача одиночных сообщений, не требующих подтверждения, то

есть не требуется создание виртуального соединения. Атака без установленного

виртуального соединения заключается в передаче служебных сообщений от имени

сетевых управляющих устройств, например, от имени маршрутизаторов.

Очевидно, что в этом случае для идентификации пакетов возможно лишь

использование статических ключей, определенных заранее, что довольно неудобно

и требует сложной системы управления ключами. Однако, при отказе от такой

системы идентификация пакетов без установленного виртуального канала будет

возможна лишь по сетевому адресу отправителя, который легко подделать.

Посылка ложных управляющих сообщений может привести к серьезным нарушениям

работы распределенной ВС (например, к изменению ее конфигурации).

Рассмотренная типовая удаленная атака, использующая навязывание ложного

маршрута, основана на описанной идее.

Подмена доверенного объекта РВС является активным воздействием, совершаемым с

целью нарушения конфиденциальности и целостности информации, по наступлению

на атакуемом объекте определенного события Данная удаленная атака может

являться как внутрисегментной, так и межсегментной, как с обратной связью так

и без обратной связи с атакуемым объектом и осуществляется на сетевом и

транспортном уровнях модели OSI.

Ложный объект распределенной ВС

В том случае, если в распределенной ВС недостаточно надежно решены проблемы

идентификации сетевых управляющих устройств (например, маршрутизаторов),

возникающие при взаимодействии последних с объектами системы, то подобная

распределенная система может подвергнуться типовой удаленной атаке, связанной

с изменением маршрутизации и внедрением в систему ложного объекта. В том

случае, если инфраструктура сети такова, что для взаимодействия объектов

необходимо использование алгоритмов удаленного поиска, то это также позволяет

внедрить в систему ложный объект. Итак, существуют две принципиально разные

причины, обуславливающие появление типовой удаленной атаки "Ложный объект

РВС" .

Внедрение в распределенную ВС ложного объекта путем навязывания ложного маршрута

Современные глобальные сети представляют собой совокупность сегментов сети,

связанных между собой через сетевые узлы. При этом маршрутом называется

последовательность узлов сети, по которой данные передаются от источника к

приемнику. Каждый маршрутизатор имеет специальную таблицу, называемую таблицей

маршрутизации, в которой для каждого адресата указывается оптимальный маршрут.

Отметим, что таблицы маршрутизации существуют не только у маршрутизаторов, но и

у любых хостов в глобальной сети. Для обеспечения эффективной и оптимальной

маршрутизации в распределенных ВС применяются специальные управляющие

протоколы, позволяющие маршрутизаторам обмениваться информацией друг с другом

(RIP [10], OSPF

[11] ), уведомлять хосты о новом маршруте - ICMP (Internet Control Message

Protocol ), удаленно управлять маршрутизаторами (SNMP

[12]). Важно отметить, что все описанные выше протоколы позволяют удаленно

изменять маршрутизацию в сети Internet, то есть являются протоколами управления

сетью.

Поэтому абсолютно очевидно, что маршрутизация в глобальных сетях играет

важнейшую роль и, как следствие этого, может подвергаться атаке. Основная

цель атаки, связанной с навязыванием ложного маршрута, состоит в том, чтобы

изменить исходную маршрутизацию на объекте распределенной ВС так, чтобы новый

маршрут проходил через ложный объект - хост атакующего.

Реализация данной типовой удаленной атаки состоит в несанкционированном

использовании протоколов управления сетью для изменения исходных таблиц

маршрутизации.

Для изменения маршрутизации атакующему необходимо послать по сети

определенные данными протоколами управления сетью специальные служебные

сообщения от имени сетевых управляющих устройств (например, маршрутизаторов).

В результате успешного изменения маршрута атакующий получит полный контроль

над потоком информации, которой обмениваются два объекта распределенной ВС, и

атака перейдет во вторую стадию, связанную с приемом, анализом и передачей

сообщений, получаемых от дезинформированных объектов РВС.

Навязывание объекту РВС ложного маршрута - активное воздействие, совершаемое

с любой из целей нарушения конфиденциальности, целостности и

работоспособности, безусловно по отношению к цели атаки. Данная типовая

удаленная атака может осуществляться как внутри одного сегмента, так и

межсегментно, как с обратной связью, так и без обратной связи с атакуемым

объектом на транспортном и прикладном уровне модели OSI.

Внедрение в распределенную ВС ложного объекта путем использования

недостатков алгоритмов удаленного поиска

В распределенной ВС часто оказывается, что ее удаленные объекты изначально не

имеют достаточно информации, необходимой для адресации сообщений. Обычно

такой информацией являются аппаратные (адрес сетевого адаптера) и логические

(IP-адрес, например) адреса объектов РВС. Для получения подобной информации в

распределенных ВС используются различные алгоритмы удаленного поиска,

заключающиеся в передаче по сети специального вида поисковых запросов, и в

ожидании ответов на запрос с искомой информацией. После получения ответа на

запрос, запросивший субъект РВС обладает всеми необходимыми данными для

адресации. Руководствуясь полученными из ответа сведениями об искомом

объекте, запросивший субъект РВС начинает адресоваться к нему. Примером

подобных запросов, на которых базируются алгоритмы удаленного поиска, могут

служить SAP-запрос в ОС Novell NetWare, ARP- и DNS-запрос в сети Internet.

В случае использования распределенной ВС механизмов удаленного поиска

существует возможность на атакующем объекте перехватить посланный запрос и

послать на него ложный ответ, где указать данные, использование которых

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13